Jedną z naczelnych zasad ogólnego rozporządzenia o ochronie danych (RODO)[1] jest tzw. zasada przejrzystości[2], o której mowa w art. 5 ust. 1 lit. a) RODO. Zgodnie z tym przepisem dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą[3]. Emanację tej zasady stanowią w szczególności normy zawarte w art. 13 i 14 RODO, dotyczące realizacji obowiązków informacyjnych wobec osób, których dotyczą dane. W przepisach tych znajduje się zakres informacji, jakie administrator danych jest zobligowany przekazać osobie, której dane dotyczą, w związku z rozpoczęciem przetwarzania jej danych osobowych.

Dla administratorów danych szczególnie problematyczne wydają się te sytuacje, w których dane nie są zbierane bezpośrednio od osoby, której dotyczą, lecz z innego źródła. Wiążą się one bowiem z koniecznością realizacji tzw. wtórnego obowiązku informacyjnego (art. 14 RODO).

W przypadku zbierania danych bezpośrednio od osoby, której dane dotyczą (art. 13 RODO), realizacja pierwotnego obowiązku informacyjnego w większości przypadków nie wydaje się bardzo kłopotliwa – właściwą klauzulę zazwyczaj łatwo przekazać w momencie zbierania danych, np. na formularzu służącym do ich zebrania. Poza tym pewnym ułatwieniem dla administratorów danych może być także „warstwowy” sposób realizowania obowiązku informacyjnego (tj. przekazanie w pierwszej kolejności najbardziej istotnych informacji dotyczących przetwarzania, takich jak tożsamość administratora, cele przetwarzania i przysługujące osobie prawa, wraz z odesłaniem do miejsca, w którym znajdują się informacje szczegółowe), pozytywnie zaopiniowany przez Grupę Roboczą ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych (znaną szerzej pod nazwą Grupa Robocza Artykułu 29 – dalej jako „GR”) w wytycznych dotyczących przejrzystości[4]. Inaczej będzie jednak wyglądała sytuacja, w której dane pozyskiwane są z innego źródła, gdy administrator zmuszony jest do podjęcia dodatkowego wysiłku w celu skontaktowania się z osobą, której te dane dotyczą, i przekazania jej wymaganych przez art. 14 RODO informacji. W warunkach, w których administrator i tak musi skontaktować się z taką osobą (często wyłącznie w tym celu), wątpliwe może być stosowanie „warstwowych” klauzul informacyjnych. Ponadto trzeba mieć na uwadze, że – zgodnie z art. 14 ust. 3 lit. a) RODO – informacje, o których mowa w art. 14 ust. 1 i 2 RODO, powinny być przekazane osobie, której dane dotyczą, najpóźniej w ciągu miesiąca od pozyskania jej danych, co także stanowi pewnego rodzaju utrudnienie. Wypada także zauważyć, że niezależnie od literalnego brzmienia art. 14 ust. 3 lit. b) RODO, zgodnie z którym wtórny obowiązek informacyjny należy spełnić przy pierwszym kontakcie z osobą, której dotyczą dane, termin miesięczny nie może zostać przekroczony. Stanowisko takie prezentowane jest zarówno przez GR („jeżeli pierwsza komunikacja z osobą, której dane dotyczą, ma miejsce ponad miesiąc po pozyskaniu danych osobowych, wówczas artykuł 14 ust. 3 lit. a) nadal ma zastosowanie, tak że informacje z artykułu 14 muszą być podane osobie, której dane dotyczą, najpóźniej w ciągu miesiąca od ich pozyskania”)[5], jak i przez przedstawicieli doktryny („należy skłonić się do wniosku, że w każdym przypadku obowiązek informacyjny powinien być wykonany najdalej w przeciągu miesiąca albo wcześniej przy pierwszej komunikacji, albo przy pierwszym ujawnieniu danych”[6]). Osoba, której dane dotyczą, w większości przypadków może bowiem w ogóle nie zdawać sobie sprawy z tego, że jej dane osobowe zostały udostępnione innemu podmiotowi oraz jakie prawa przysługują jej w związku z przetwarzaniem jej danych osobowych. Już w poprzednim stanie prawnym, tj. na gruncie ustawy o ochronie danych osobowych z 29 sierpnia 1997 r., realizacja wtórnego obowiązku informacyjnego sprawiała wiele kłopotów administratorom danych. Trudno oczekiwać, że sytuacja ta istotnie się teraz zmieni. Tym bardziej należy więc przeanalizować wszystkie przypadki, w których przepisy RODO dopuszczają możliwość wyłączenia wtórnego obowiązku informacyjnego, gdyż w tym akurat zakresie przepisy uległy zmianie.

Z uwagi na szczególną specyfikę sytuacji, w których dane osoby pozyskiwane są ze źródeł innych niż ta właśnie osoba, w przepisach trafnie przyjęto, że prawo tej osoby do uzyskania informacji o przetwarzaniu jej danych osobowych nie ma charakteru absolutnego. W praktyce mogą zaistnieć różnego rodzaju okoliczności, w których wtórny obowiązek informacyjny będzie wyłączony. Kwestie te uregulowano w art. 14 ust. 5 RODO.

Każdy administrator danych, który pozyskuje dane ze źródła innego niż osoba, której te dane dotyczą, powinien zatem starannie rozważyć, czy w jego przypadku nie znajdzie zastosowania któreś z wyłączeń wskazanych w tym przepisie. Warto także zauważyć, że niektóre wyłączenia będą miały charakter całkowity, co oznacza, że administrator w żadnym razie nie będzie mógł udzielić informacji wskazanych w art. 14 ust. 1 i 2 RODO z własnej inicjatywy (w szczególności w przypadkach, w których informacje objęte są niektórymi tajemnicami zawodowymi), inne zaś – charakter częściowy, co oznacza, że administrator, stwierdziwszy, że spełniona została określona przesłanka wyłączająca obowiązek informacyjny, może uznać, że z uwagi na możliwość zastosowania wyłączenia nie będzie go spełniał, nawet jeśli w niektórych przypadkach byłoby to technicznie możliwe (gdyż np. osoba dysponuje już stosownymi informacjami lub udzielenie informacji wymagałoby niewspółmiernie dużego wysiłku). W takim przypadku osoba, której dotyczą dane, nadal jest jednak uprawniona do uzyskania informacji związanych z przetwarzaniem jej danych osobowych, a w przypadku wyłączenia, o którym mowa w art. 14 ust. 5 lit. b), może się z nimi zapoznać w inny sposób (np. na stronie internetowej).

RODO przewiduje aż cztery wyłączenia, z których każde ma charakter niezależny i powinno być traktowane osobno.

  • Osoba, której dotyczą dane, dysponuje już wszystkimi informacjami, które powinien jej przekazać administrator.

Wyłączenie to (podobnie jak wyłączenie wynikające z art. 13 ust. 4 RODO) opiera się na założeniu, że osobie, która posiada już wszystkie informacje, jakie powinien jej przekazać administrator, nie trzeba ich dostarczać ponownie.

Wydaje się, że praktyczne znaczenie tego wyłączenia w przypadku wtórnego obowiązku informacyjnego będzie raczej niewielkie. Po pierwsze, osoba, której dotyczą dane, musiałaby faktycznie posiadać wszystkie informacje, o których mowa w art. 14 ust. 1 i 2 RODO, aby obowiązek był wyłączony w całości. Po drugie, ciężar udowodnienia, że osoba ta dysponuje wszystkimi informacjami, o których mowa powyżej, zgodnie z zasadą rozliczalności spoczywa na administratorze danych. W praktyce trudno zatem wyobrazić sobie sytuacje, w których taki obowiązek można skutecznie w całości wyłączyć, a administrator będzie w stanie wykazać, że osoba dysponuje wszystkimi stosownymi informacjami. Poza tym w praktyce niejednokrotnie mogą zaistnieć sytuacje, w których administrator danych posiada już pewne informacje na temat konkretnej osoby fizycznej, otrzymane bezpośrednio od niej, jednak następnie pozyskuje na jej temat dane (w tym samym lub w innym celu) z innego źródła[7]. Jeśli osoba ta nie jest tego świadoma (tj. nie przekazano jej dotychczas wszystkich informacji wymaganych na podstawie art. 14 RODO), należałoby uznać, że zachodzi konieczność realizacji wtórnego obowiązku informacyjnego także w zakresie odnoszącym się do przetwarzania danych dodatkowych (choćby z uwagi na wymóg przekazania informacji o źródle danych).

  • Brak możliwości realizacji obowiązku informacyjnego lub niewspółmiernie duży wysiłek po stronie administratora danych.

Z praktycznego punktu widzenia najbardziej użyteczne dla administratorów danych może być wyłączenie, o którym mowa w art. 14 ust. 5 lit. b) RODO.

Zgodnie z tym przepisem wtórny obowiązek informacyjny jest wyłączony, gdy „udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1 [RODO], lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu [art. 14 RODO], może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie”.

Należy zwrócić uwagę, że z cytowanego przepisu wynika, iż wyjątek ten znajduje zastosowanie przede wszystkim w przypadkach przetwarzania danych osobowych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych. W żadnym razie nie można jednak odrzucić całkowicie możliwości powołania się na ten wyjątek w innych sytuacjach, wskazany katalog przykładów ma bowiem charakter otwarty. Niemniej jednak ocena, czy zachodzi „niewspółmiernie duży wysiłek” powinna być dokonywana in concreto – w odniesieniu do konkretnego administratora danych i konkretnego procesu przetwarzania danych osobowych.

Wydaje się, że we wszystkich sytuacjach, w których administrator nie posiada bezpośrednich danych kontaktowych osoby fizycznej, której dane pozyskał z innego źródła, zasadne jest przyjęcie, że realizacja wtórnego obowiązku informacyjnego nie jest możliwa. Wyłączenie wtórnego obowiązku informacyjnego wydaje się w takich przypadkach jak najbardziej trafne. Stanowisko takie – jeszcze w poprzednim stanie prawnym – zajął także ówczesny organ nadzorczy (GIODO), wskazując, że w razie braku danych kontaktowych osoby fizycznej wystarczającą formą spełnienia obowiązku informacyjnego w stosunku do osób, których dane dotyczą, może być umieszczenie stosownych informacji na stronie internetowej administratora danych[8].

Jako przykład (zob. ww. decyzja GIODO) można podać pozyskanie (np. do celów prowadzonej działalności gospodarczej) danych osób reprezentujących spółki prawa handlowego (członków organów, prokurentów itp.), które znajdują się w KRS. Kwestią otwartą pozostaje, na ile takie dane w ogóle będą stanowić dane osobowe podlegające pod reżim RODO, a na ile dane te można uznać za dane kontaktowe osób prawnych, o których mowa w motywie 14 preambuły RODO, a tym samym potencjalnie w całości wyłączyć stosowanie RODO. W tym zakresie pomocne byłoby z pewnością zajęcie stanowiska przez organ nadzorczy (PUODO). Niezależnie od powyższego należy jednak z całą pewnością stwierdzić, że w przypadku pozyskania danych osoby reprezentującej spółkę z rejestru przedsiębiorców KRS nie posiadamy danych kontaktowych takiej osoby, a jedynie dane kontaktowe spółki. Nie jest zatem możliwe spełnienie obowiązku informacyjnego względem osoby fizycznej, której takie dane dotyczą. Powyższe może dotyczyć także innych przypadków, w których administrator danych nie posiada bezpośrednich danych kontaktowych osoby fizycznej, przez co realizacja wtórnego obowiązku informacyjnego nie jest możliwa.

Warto mieć przy tym na uwadze, że zgodnie z zasadą minimalizacji danych administrator nie może przetwarzać więcej danych, niż jest to niezbędne do osiągnięcia celu przetwarzania (art. 5 ust. 1 lit. c) RODO). W tym duchu należy także odczytywać motyw 57 preambuły RODO: „jeżeli dane osobowe przetwarzane przez administratora nie pozwalają mu zidentyfikować osoby fizycznej, nie powinien on mieć obowiązku uzyskania dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do przepisów niniejszego rozporządzenia”. Per analogiam w przypadku gdy administrator nie posiada danych kontaktowych osoby fizycznej, nie tylko nie ma on żadnego obowiązku, ale wręcz nie powinien pozyskiwać dodatkowych danych tylko w celu realizacji obowiązku informacyjnego.

W praktyce występować będą także sytuacje, w których administrator danych posiada dane kontaktowe danej osoby fizycznej, jednak można przyjąć, że zachodzi przesłanka niewspółmiernie dużego wysiłku przy jego realizacji (tzw. nadmierna uciążliwość),  a obowiązek może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania, wobec czego powinien być on wyłączony. Przykładowo: banki niejednokrotnie będą przetwarzały dane kontaktowe odbiorcy przelewu (imię i nazwisko oraz adres), a zatem będą miały (przynajmniej teoretycznie) możliwość realizacji wtórnego obowiązku informacyjnego względem tej kategorii osób. Należy przyjąć, że odbiorca przelewu, co do zasady, nie posiada wszystkich informacji, o których mowa w art. 14 ust. 1 i 2 RODO (chociażby tych, które dotyczą celów czy podstaw prawnych przetwarzania jego danych), przy czym trudno wobec niego zastosować także wyłączenie realizacji obowiązku informacyjnego z uwagi na tajemnicę bankową (jako beneficjenta tej tajemnicy, o czym poniżej). Niemniej jednak w praktyce nie sposób wyobrazić sobie skuteczne realizowanie przez bank wtórnego obowiązku informacyjnego wobec tysięcy osób, których dane pozyskuje od swoich klientów na okoliczność składanych dyspozycji przelewów. Jedynym rozsądnym rozwiązaniem w takiej sytuacji wydaje się więc wyłączenie wtórnego obowiązku informacyjnego właśnie z uwagi na nadmierną uciążliwość, mimo że dane nie są przetwarzane do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych ani do celów statystycznych.

Niewątpliwie warto rozważyć zastosowanie wyłączeń z art. 14 ust. 5 lit. b) RODO także w innych przypadkach, w których realizacja obowiązku informacyjnego byłaby (przynajmniej teoretycznie) technicznie możliwa, jednak z przyczyn związanych z nadmierną uciążliwością nie jest zasadna. Jako przykład może posłużyć pozyskiwanie danych kontaktowych przedsiębiorców, pracowników lub współpracowników przedsiębiorców, w sytuacji gdy przetwarzany jest bardzo ograniczony zakres tzw. danych wizytówkowych (służbowych), takich jak imię i nazwisko, stanowisko, służbowy adres e-mail czy służbowy numer telefonu. Bezpośrednia realizacja wtórnego obowiązku informacyjnego w normalnych kontaktach biznesowych (jakkolwiek niekiedy praktykowana) nie tylko wydaje się w takich sytuacjach sztuczna, ale wręcz utrudnia zwyczajne kontakty biznesowe w obrocie gospodarczym, gdzie firmy często udostępniają dane kontaktowe swoich pracowników lub współpracowników w umowach, ofertach, zapytaniach itp. Rozsyłanie ogromnych ilości e-maili zawierających klauzule informacyjne czy to w treści głównej, czy to w nadmiernie rozbudowanej stopce wiadomości należy uznać za uciążliwe nie tylko dla nadawców, ale przede wszystkim dla odbiorców takich komunikatów.

Warto mieć także na uwadze, że w przypadku skorzystania z tego wyłączenia administrator jest zobowiązany podjąć odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnić informacje publicznie (np. poprzez zamieszczenie klauzuli informacyjnej na stronie internetowej).

  • Pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą

Wyłączenie, o którym mowa w art. 14 ust. 5 lit. c) RODO, może powodować spore wątpliwości interpretacyjne (podobnie jak wyłączenie, o którym mowa w art. 14 ust. 5 lit. b) RODO). O ile stosunkowo łatwo stwierdzić, że w niektórych sytuacjach pozyskiwanie lub ujawnianie danych jest wyraźnie uregulowane prawem Unii Europejskiej lub prawem państwa członkowskiego, o tyle powstaje pytanie, co należy rozumieć przez „odpowiednie środki chroniące prawnie uzasadnione interesy osób, których dotyczą dane”. Wydaje się jednak, że postulat dotyczący konieczności zapewnienia „odpowiednich środków”, o których mowa powyżej, powinien być adresowany w pierwszej kolejności do prawodawcy. Trudno bowiem oczekiwać, aby – przykładowo – administratorzy danych zobowiązani na mocy stosownych przepisów do przetwarzania (pozyskiwania lub ujawniania) danych osobowych mieli ponosić negatywne konsekwencje niedoskonałości tych przepisów czy zaniedbań po stronie prawodawcy. Zasadne wydaje się zatem przyjęcie, że wyłączenie wtórnego obowiązku informacyjnego powinno znaleźć zastosowanie we wszystkich przypadkach, w których przepisy obligują podmioty (nie tylko publiczne) do pozyskiwania określonych danych osobowych nie od osoby, której dane dotyczą, lub ujawniania tych danych. Trudno jednak stwierdzić, czy taki punkt widzenia podzieli organ nadzorczy.

Jednocześnie warto zauważyć, że w poprzednio obowiązującym stanie prawnym przepisy niekiedy przewidywały całkowite wyłączenie wtórnego obowiązku informacyjnego (por. art. 25 ust. 1 ustawy o ochronie danych osobowych z 29 sierpnia 1997 r.). Jako przykład można podać art. 41 ust. 2 ustawy o działalności ubezpieczeniowej i reasekuracyjnej (który prawdopodobnie zostanie niebawem uchylony).

W obecnej wersji projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679[9] takie wyłączenie przewidziano wyłącznie w ograniczonym zakresie w art. 7 ust. 4 Ustawy z dnia 25 lutego 2016 r. o ponownym wykorzystaniu informacji sektora publicznego[10].

  • Tajemnice zawodowe

Ostatnie z wyłączeń określonych w RODO związane jest z koniecznością zapewnienia poufności danych osobowych z uwagi na zapisany w prawie Unii lub w prawie państwa członkowskiego obowiązek zachowania tajemnicy zawodowej, w tym z uwagi na ustawowy obowiązek zachowania tajemnicy. Z całą pewnością będzie ono dotyczyć osób zawodowo świadczących usługi prawne, takich jak adwokaci czy radcowie prawni (z uwagi na tajemnicę adwokacką i radcowską, o których mowa odpowiednio w art. 6 ustawy Prawo o adwokaturze[11] i art. 3 ustawy o radcach prawnych[12]). Przepis ten może oczywiście znaleźć zastosowanie m.in. w odniesieniu do osób świadczących usługi detektywistyczne (z uwagi na art. 12 ust. 1 ustawy o usługach detektywistycznych[13]) czy też w wszędzie tam, gdzie określone przepisy wprowadzają obowiązek zachowania tajemnicy zawodowej, jak np. tajemnica dotycząca postępowania przygotowawczego, określona w art. 102 par. 1 ustawy Prawo o prokuraturze[14].

Należy mieć jednak na uwadze, że w przypadku niektórych tajemnic zawodowych wyłączenie, o którym mowa w art. 14 ust 5 lit. d) RODO, nie znajdzie zastosowania wobec wszystkich osób, których dotyczą dane. W niektórych sytuacjach osobę, której dane dotyczą, należy bowiem traktować jako beneficjenta tajemnicy zawodowej, a tym samym osobę uprawnioną do uzyskania informacji na własny temat. Przykładowo – zgodnie z art. 104 ust. 3 ustawy Prawo bankowe[15] – banku nie obowiązuje, z zastrzeżeniem ust. 4 i 4a, zachowanie tajemnicy bankowej wobec osoby, której dotyczą informacje objęte tajemnicą (np. osoby będącej odbiorcą przelewu bankowego).

Podobnie ma się rzecz w przypadku tajemnicy ubezpieczeniowej – art. 35 ust. 2 ustawy o działalności ubezpieczeniowej i reasekuracyjnej (dalej jako „u.d.u.r.”)[16] wyłącza tajemnicę ubezpieczeniową wobec określonych kategorii podmiotów, w tym „ubezpieczającego, ubezpieczonego, a w przypadku zgłoszenia wystąpienia zdarzenia losowego, z którym umowa wiąże odpowiedzialność zakładu ubezpieczeń – także uprawnionego z umowy ubezpieczenia” (art. 35 ust. 2 pkt 20) u.d.u.r.). Wydaje się zatem, że wobec niektórych kategorii osób (w szczególności ubezpieczonego) nie ma możliwości wyłączenia wtórnego obowiązku informacyjnego z uwagi na tajemnicę ubezpieczeniową. Na wniosek ubezpieczonego dane objęte tajemnicą ubezpieczeniową mogą być mu ujawnione, tym samym nie sposób zastosować w stosunku do niego wyłączenia, o którym mowa w art. 14 ust. 5 lit. d) RODO.


[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, s. 1).

[2] Wszystkie wyróżnienia w tekście, w tym także w obrębie cytatów, pochodzą od autora.

[3] Zob. Grupa Robocza Artykułu 29 ds. Ochrony Danych, „Wytyczne dotyczące przejrzystości na mocy rozporządzenia 2016/679”,  https://uodo.gov.pl/pl/10/434, dostęp: 16.11.2018.

[4] Tamże.

[5] Tamże.

[6] Byrski J., Outsourcing w działalności dostawców usług płatniczych, CH Beck, Warszawa 2018, s. 390.

[7] Przykładem może być pozyskiwanie danych klienta wnioskującego o kredyt przez bank z Biura Informacji Kredytowej w celu oceny zdolności kredytowej kredytobiorcy.

[8] Zob.: Decyzja GIODO z dnia 12 lipca 2016 r., DIS/DEC-587/16/62309.

[9] Projekt z 22 października 2018 r. Zob. https://legislacja.rcl.gov.pl/projekt/12302951.

[10] Tekst jedn.: Dz. U. z 2018 r., poz. 1243 ze zm.

[11] Ustawa z dnia 26 maja 1982 r. Prawo o adwokaturze (tekst jedn.: Dz. U. z 2018 r., poz. 1184 ze zm.).

[12] Ustawa z dnia 6 lipca 1982 r. o radcach prawnych (tekst jedn.: Dz. U. z 2018 r., poz. 2115).

[13] Ustawa z dnia 6 lipca 2001 r. o usługach detektywistycznych (tekst jedn.: Dz. U. z 2017 r., poz. 556 ze zm.).

[14] „Prokurator jest obowiązany zachować w tajemnicy okoliczności sprawy, o których w postępowaniu przygotowawczym, a także poza jawną rozprawą sądową, powziął wiadomość ze względu na swoje stanowisko prokuratora”.

[15] Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe (tekst jedn.: Dz. U. z 2017 r., poz. 1876 ze zm.).

[16] Ustawa z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (tekst jedn.: Dz. U. z 2018 r., poz. 999 ze zm.).